Fribourg, avant-projet de loi du 27 novembre 2019 adaptant la législation cantonale sur certains aspects de la digitalisation

Avant-Projet de loi du 27 novembre 2019 adaptant la législation cantonale sur certains aspects de la digitalisation[1]

A fin 2019, le canton de Fribourg a mis en consultation deux projets de loi en relation avec le traitement de données personnelles, l’un adaptant la législation cantonale sur certains aspects de la digitalisation qui modifie en particulier la loi cantonale sur la protection des données (LPrD) et l’autre portant sur une révision totale de la dite LPrD. La consultation sur le premier projet échoit le 31 janvier 2020, alors que la révision totale court jusqu’à fin mars (nous aborderons ce projet de révision dans une prochaine contribution).

On est en droit de s’interroger sur ce qui motive le canton à procéder de la sorte et à ne pas intégrer dans la révision totale de la LPrD, directement concerné par ce projet, ces aspects de la digitalisation. En effet aujourd’hui la majorité des traitements de données personnelles se font de manière automatisée et sont touchés par la question de l’externalisation, objet de ce premier projet de loi. De même la question du recours à un identifiant personnel ou de l’accès au guichet virtuel qui sont également visé par ce projet, touche à la protection des données personnelles.

Le Conseil d’État motive cette approche en alléguant que pour pouvoir avancer et étendre les possibilités de recours à des solutions de cloud computing, il est nécessaire de modifier sans attendre la loi cantonale sur la protection des données, à croire qu’il y a péril en la demeure et qu’il n’est pas possible de joindre les deux objets, ce qui éviterait d’aboutir à d’éventuelles contradictions entre les deux projets ou à saisir deux fois le Grand Conseil dans un laps de temps rapproché. De même, le canton de Fribourg semble pressé de se doter de bases légales lui permettant d’utiliser systématiquement le numéro AVS dans les administrations cantonales et communales « dans le but d’identifier de manière sûre et univoque les personnes recensées », sans attendre que le Parlement fédéral ait terminé ses travaux et se soit prononcé dans un sens ou dans un autre sur l’utilisation systématique de ce numéro proposée par le Conseil fédéral. Il est ainsi regrettable que le canton de Fribourg suive sans autre la tendance actuelle voulant généraliser le recours au numéro AVS sans étudier d’autres alternatives et sans développer un véritable concept basé sur le recours à des numéros sectoriels, de manière à minimiser autant que faire se peut les risques d’atteinte aux droits humains et libertés fondamentales, du fait notamment de l’accès facilité à des données personnelles et dès lors d’abus.

Le Conseil d’État justifie le recours à l’externalisation et plus particulièrement à l’info nuage comme la réponse « à des exigence nouvelles dans le fonctionnement et l’organisation de l’Etat, qui résultent du déploiement de technologies numériques dans la société : explosion des volumes de données produites et utilisées, exigences de haute disponibilité et de sécurité, volonté des organes de l’Etat de se connecter sur le cœur de leur activité et de se désengager de certaines opérations qui ne correspondent pas à leur métier, besoins de nouveaux moyens d’accès aux services en situation de mobilité, en tout lieu, à tout moment et sur tout support. » Si l’on comprend les motivations du CE, on s’interroge sur le fait qu’aucune analyse d’impact sur les droits humains et les libertés fondamentales des administré(e)s n’ait, du moins apparemment, été menée et qu’aucune alternative n’ait été mise sur la table, comme la création d’un service au sein de l’État chargé des tâches qui doivent être externalisées. On pourrait d’ailleurs souhaiter que les cantons et la Confédération en collaboration avec nos hautes écoles développent une solution suisse propre pour l’externalisation des données.  

Au crédit du CE, le projet de loi prévoit que l’externalisation ne peut intervenir qu’auprès d’un sous-traitant situé en Suisse ou dans un pays ayant un niveau de protection des données équivalent, ce qui n’empêche pas cependant que le sous-traitant soit une multinationale, notamment issue des GAFAMs et que les données sous-traitées puissent aboutir en mains d’autorités étrangères. Le projet devrait prévoir des garde-fous et prévoir pour le moins que le sous-traitant ne doit pas transmettre de données à la demande d’une autorité sans en référer au mandant et sans son accord. Le projet met également des conditions de sécurité élevées qui suivent, ce qui doit être souligné, les recommandations de l’association suisse de autorités cantonales de protection des données (PRIVATIM)[2]. Le projet de loi devrait néanmoins prévoir que le recours à l’externalisation, du moins en présence de données sensibles ou de données issues de profilage, ne devrait intervenir que si aucune solution interne n’est envisageable et pour autant que les données personnelles soient encryptées. L’externalisation est également possible pour des données soumis à un secret professionnel, tel le secret médical pour autant que le la confidentialité des données soit garantie. Il serait souhaitable qu’il soit précisé quelles doivent être ces garanties de confidentialité, lesquelles doivent être équivalentes à celle du détenteur du secret et entraîner des sanctions pénales en cas de violation.

Le projet de loi porte sur une modification de la loi cantonale sur la cyberadministration à savoir « l’utilisation des technologies de l’information et de la communication aussi bien dans le fonctionnement et l’organisation de l’État que dans ses relations avec les tiers ».  Cela concerne en particulier le développement du guichet virtuel permettant à tout administré de demander des prestations ou des services à l’administration. Ces demandes se fondent sur le consentement de la personne concernée. Le traitement des données doit se faire en respectant par défaut la protection des données la plus élevée. Le projet se réfère ainsi aux principes de protection des données dès la conception et de protection des données par défaut qui impliquent la minimisation des données. Il serait souhaitable que le projet précise quelles données peuvent être collectées et traitées. Se baser sur le simple consentement pour justifier une prestation ou un service est insuffisant. Les principes de finalité et de proportionnalité doivent également être respectés. Afin d’éviter d’exclure des administrés de l’octroi de services ou de prestations, le projet ne devrait pas seulement prévoir que le guichet virtuel est gratuit, mais que celui-ci demeure facultatif. En outre, il est nécessaire de développer une politique d’inclusion afin que toutes les couches de la population puissent avoir accès à la cyberadministration, ceci est en particulier indispensable face à la tendance actuelle de rendre certaines procédures en format électronique obligatoires.  


[1] https://www.fr.ch/cha/institutions-et-droits-politiques/legislation/mise-en-consultation-de-deux-avant-projets-dans-le-domaine-de-la-digitalisation-de-letat

[2] _ https://www.privatim.ch/wp-content/uploads/2019/03/privatim_Aide-memoire_Cloud_v1.0_20190206.pdf


Publié par J.-Ph. Walter

Expert indépendant en matière de protection des données et d'accès à l'information aux documents officiels Exerce la fonction de Commissaire à la protection des données du Conseil de l'Europe Ancien préposé fédéral suppléant à la protection des données et à la transparence (Suisse)

Votre commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l’aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google

Vous commentez à l’aide de votre compte Google. Déconnexion /  Changer )

Image Twitter

Vous commentez à l’aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l’aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s

%d blogueurs aiment cette page :